Сьогодні знову середа, тому ми продовжуємо серію постів на тему Hackademy Day, і наступна тема:

🌐 SecretFinder: JavaScript мисливець

Четвертий боєць - SecretFinder! Цей спеціаліст полює на секрети у веб-додатках через JavaScript файли 🎯

В чому його сила?
Розробники часто забувають API-ключі та токени прямо у фронтенд коді. SecretFinder їх знаходить!

Встановлення:

git clone https://github.com/m4ll0k/SecretFinder
cd SecretFinder
pip3 install -r requirements.txt

Основне використання:

# Сканування одного сайту

python3 secretfinder.py -u https://target.com

# Множинні домени з файлу

python3 secretfinder.py -l domains.txt

# Конкретний JS файл

python3 secretfinder.py -u https://site.com/app.js

Просунуті опції:

# Зберегти результат

python3 secretfinder.py -u target.com -o results.html

# Використати proxy

python3 secretfinder.py -u target.com --proxy http://127.0.0.1:8080

# Custom User-Agent

python3 secretfinder.py -u target.com --user-agent "Mozilla/5.0..."

Що знаходить у JS:

- AWS S3 bucket URLs
- API endpoints та ключі
- Google Maps API keys
- Firebase configs
- JWT токени
- Database connections
- Internal URLs та paths

Патерни пошуку:

- api_key, apikey, secret
- Base64 encoded strings
- URLs з credentials
- Configuration objects
- Hardcoded passwords

Практичний workflow:

- Знаходимо JS файли: subfinder + httpx
- Аналізуємо їх: SecretFinder
- Валідуємо знайдені секрети
- Документуємо для звіту

#GitLeaks #SpeedScanning #DevSecOps #кібербезпека

Поки в інфопросторі несеться зрада за зрадою, а люди в черговий раз біжуть з лопатами копати помиральні ями⚰, команда RM RF вирішила порадувать вас смачненьким, знижечки на корисні курси на чорну п'ятницю🤑:
https://github.com/wwwiesel/InfoSec-Black-Friday?tab=readme-ov-file

І свого не чурайтесь і чужому навчайтесь, зробимо разом кожну п'ятницю в рашці чорною!

Завжди так роблю😁

Очєрєдной удар в псину - китайські хакери рік атакували ІТ-сектор рашки

Мова йде про групу APT31, вектор атаки якої був спрямований на компанії інтеграторів рішень для держустав та їх підрядників. Зрозуміло, що це було, є і, вірогідніше за все буде, замовленням уряду китая. Як то кажуть "тримай друзів близько, а корисне навантаження до них ще ближче"

Серед способів атак немає нічого нового: використання хмарних сервісів (типу Yandex Cloud), command-and-control (C2),  фішінгові листи з архівами з відповідним вмістом, ну і звісно що власні інструменти

🗑 DumpsterDiver: Копання у цифровому смітті (Hackademy Day)

П'ятий інструмент серії - DumpsterDiver! Якщо інші шукають секрети у коді, то цей копається у дампах і backup'ах 💾

Що робить цей звір?

Аналізує дампи пам'яті, backup файли, архіви та інший "цифровий мусор" на пошук credentials та sensitive даних.

Встановлення:

git clone https://github.com/securing/DumpsterDiver
cd DumpsterDiver
pip3 install -r requirements.txt

Базове використання:

# Сканування директорії

python3 DumpsterDiver.py -p /path/to/dumps

# Конкретні типи файлів

python3 DumpsterDiver.py -p /target --grep-words passwords, api, secret

# Поглиблений аналіз

python3 DumpsterDiver.py -p /dumps --advance

Типи файлів для аналізу:

- Memory dumps (.dmp, .mem)
- Database backups (.sql, .db)
- Log files (.log, .txt)
- Archive files (.zip, .tar, .gz)
- Config files (.conf, .ini, .xml)
- Office documents (.doc, .xls, .pdf)

Корисні параметри:

--remove-empty # Пропустити пусті файли
--max-file-size 50 # Максимум 50MB на файл
--grep-words list # Власні ключові слова
--pdf-parser # Парсинг PDF файлів

Що шукає:

- Passwords та usernames
- API keys та tokens
- Credit card numbers
- Social Security Numbers
- Email addresses
- IP addresses та URLs
- Криптографічні ключі

Реальні сценарії:

- Forensic analysis дампів
- Аналіз витоків даних
- Incident response
- Compliance аудит

Для pentest'ерів:

Часто адміни лишають backup'и у відкритому доступі. FTP, SMB shares, відкриті S3 buckets - DumpsterDiver знайде там золото!

#GitLeaks #SpeedScanning #DevSecOps #кібербезпека

Користувачі Blender, будьте на сторожі

Впродовж останніх 6 місяців на різноманітних сайтах з ассетами розповсюджували шкідливі файли з розширенням blend, які містили безплатні 3D-моделі. Ці файли крадуть дані запускаючи скрипти на Python, ну і звісно що не обійшлось без русні -  StealC V2

На зображенні ви можете бачити чейн атаки від спеціалістів з Morphisec

А це вже цікаво: застосунок Apple Podcasts відкриває... подкасти про релігію, освіту й духовність

Це триває вже декілька місяців, при чому судячи з усього, воно відбувається саме по собі. Також, на сторінці одного з подкастів із назвою “5../XEWE2′””&#x22″onclic…”, є посилання на шкідливий сайт, який намагається виконати XSS-атаку. Ну і вишенькою на цьому торті є ігнор проблеми компанією Apple

Коли вже там у них введуть чєбурнет?🙄

Спочатку на рашці охолоджують сімки, ще до цього впродовж довгого часу намагаються заблочити телеграм, а тепер черга дійшла і до WhatsApp, бо бачте "мєсенджєри продолжают нарушать расійскоє законодательство", а як альтернативу пропонують перейти на "національниє сєрвіси"

Gemini 3 Pro зламали всього за... 5 хвилин😅

Члени стартапу Aim Intelligence, який займається перевіркою ШІ на вразливості, обійшли його обмеження і попросили інструкції, наприклад, для вірусу віспи. І ці інструкції виявились доволі "життєздатними"

До наступного запиту дослідники підійшли з гумором і попросили ШІ створити сатиричну презентацію про власну помилку. Він погодився, а презентація отримала назву "Excused Stupid Gemini 3"

Наступним на черзі було створення сайту з інструкціями для газу зарин і виготовлення вибухівки у домашніх умовах, з чим ШІ теж успішно впорався. Цікаво, чи допоміг би Gemini 3 створити бомбу із зарином, який би розповсюджував віспу?😀

Коли зламали не застосунок, а ПК його творця

Альтернатива YouTube для Android TV і Fire TV (SmartTube 100К+ завантажень на Google Play),  розповсюджувала ШПЗ, але зламали не сам застосунок, а один з комп'ютерів розробників

Самі творці застосунку не знають, які саме версії SmartTube інфіковані, але заражену машину вже почистили, а не заражена версія SmartTube доступна для завантаження. Однак, я б все ж таки поберігся від його завантаження, що зараз, що у майбутньому

Відновлюємо втрачені контакти. Коса працює, ціни гарні. Якщо є цікава інфа або документи, запропонуємо гарну ціну. Команда тримає марку. По всім питанням @fairytelles

Китай шукає способи... заглушити супутниковий інтернет

Мова зараз йде здебільшого про Starlink, який став надзвичайно корисним для нашої армії, і китай не міг не помітити це. Стабільний та надійний зв'язок - критично важливий на війні, і враховуючи їх неодноразові заяви у бік Тайваню, ця новина є цілком очікуваною

Минулого місяця дослідники двох найбільших університетів китаю опублікували документ, в якому йдеться про можливість заглушити супутниковий інтернет. В дослідженні сказано, що для того, щоб регіон розміром з Тайвань залишився без зв'язку, треба від 1000 до 2000 дронів 

Втім, країни вже шукають і знаходять способи убезпечити себе від цього. Той же Тайвань підписав угоду з Eutelsat OneWeb, яка має понад 600 супутників. Для прикладу, Starlink має близько 9000. Ну і звісно, що китай розробляє свою технологію супутникового зв'язку, схожу на Starlink. Те саме можна сказати про Францію та Індію

Примерно четверть посещений у нас с ru сегмента. Хотите подзаработать, передать документы, может есть возможность ввести пару команд или поделится чем то интересным, а може вы знаете как взаимодействует бензин с релейным шкафом? Готовы к любому сотрудничеству. Гарантируем анонимность, оплата криптой но можно договорится и валютой в вашем городе. Коса работает, цены хорошие✓
Для связи:
@fairytelles
или
rmrfofficial@pm.me

Вже подр*чити спокійно не дають🙄

Група хакерів ShinyHunters стверджують, що зламали Pornhub й отримали доступ до даних преміум акаунтів, і вимагають викуп у біткоїнах.

Для підтвердження злому вони передали Reuters записи про 14  таких користувачів. Після розмови, журналісти підтвердили достовірність трьох, хоча вони й були кількарічної давності

Вже працювати спокійно не дають🙄

Амазон викрили серед своїх працівників самозванця з Північної Кореї, який працював сисадміном. Це стало можливо через затримку на натиснення клавіш - замість декількох десятків мілісекунд для більшості інших віддалених працівників, вона складала 110 мс. Якщо вже людину можна обдурити чи скоріше підкупити (жінку, яка допомагала з працевлаштуванням, засудили до декількох років ув'язнення), то фізику не обдуриш🤷‍♂️

Любі пані та панове, всіх з Новим роком 🎄🎄🎄

Команда RMRF дякує кожному, хто був поруч і залишився в строю.

У цей час прийнято підбивати підсумки й давати обіцянки на майбутнє.
Чи могли ми у 2024 році уявити, яким буде 2025? — Ні. Якщо 2023–2024 були роками фану, стрімкого росту, незліченної кількості таргетів і п’янкого аромату перемог, то 2025 став роком випробувань.

Втрата Ареса сильно вдарила по команді. Ми втратили не просто лідера, а ключову фігуру багатьох процесів. Але ми обіцяли не здаватись — і ми працювали.
Багато. Важко.
Менше фану, більше рутини. Менше шуму. Менше публіки. Кобила, як виявилось, завітала до нас на рік раніше.

І водночас ми зрозуміли важливу річ: ми не самі. Нам пропонували допомогу, ми просили допомоги — і так, разом справді легше. Це і є спільнота. Без зайвих слів. Від нас було небагато публічної активності — на жаль, усе важливе любить тишу. І ми вдячні вам за те, що попри це ви залишаєтесь з нами.

Плани на 2026?
О, їх багато. Якщо коротко — працювати вдвічі більше, ніж у 2025.
Команда, пробачте 😅

Наостанок — слова подяки справжнім героям 2025 року.
Перш за все — чоловікам і жінкам, які тримають фронт, сидячи в окопах під постійними обстрілами.
Але й усім тим, хто бореться, сидячи за монітором; хто кидає п’ять гривень на донат; хто купує корчі; хто просто тримається з останніх сил і не дає собі зламатися.

Також — спасибо друзьям с той стороны, работающим в тени 🥷

Що принесе 2026 — загадка. Але ми зустрінемо його з надією, азартом і як черговий виклик.
З Новим роком, друзі. Дякуємо вам за те, що ви є.

Вітаємо з Новим роком!!!

Останнім часом тут не було особливо багато активності. У нашій справі це означає, що робота ведеться, але далеко не про все ми можемо розказати публічно. Може колись це і станеться, але сьогодні пропонуємо вам особливий подарунок - доступ до військових закритих чатів втарой армії міра. Привітайте їх гарненько😊

https://t.me/+Gcn9idDEkJZiMzcy

https://t.me/+V5OxVEN1bJU2ZGQ6

https://t.me/+2rj79DofCFNiNDVi

https://t.me/+d0z3GDAIUQ1hMzgy

https://t.me/+nklztBqqN9QwM2Fi

https://t.me/t2polzovatel

https://t.me/+Nm1SfKhhshJhYWFi

https://t.me/+c6xXfMIxuQs5ZmU6

https://t.me/TGKdevuatiiSVO

https://t.me/+qtZScwoHKMZkZDEy

https://t.me/groupp434

https://t.me/+UxC8xbfhJdZmZWZi

https://t.me/lpr1_Crimea_Alarm

https://t.me/+QtEQkMGrJikxMjcy

https://t.me/+MNJFBVVdsgA2NDAy

https://t.me/+bNvY38jqGyVmNzI6

https://t.me/+pHgm1ljST89mNmU6

https://t.me/+7FAS7vBSMiMyNWQy

https://t.me/+bhQvyB32xTI3OTBi

https://t.me/+c3C1Gd3EFS1jNzA6

https://t.me/rodnaya98vdd

https://t.me/+PmpjJ6VrxRVhOTYy

https://t.me/+xD6Fn3aan4Q0ZmYy

https://t.me/+E5S7UHk0f7dlOTNi

https://t.me/+jYlvWcCrr2ZhNDcy

https://t.me/+XAS_jNRD3sJiZGRi

https://t.me/+eH1mqWPsYYYxYWNi

https://t.me/+abHSDdnV2ZAwYTFi

https://t.me/+FgGydjs3WHtlYjcy

https://t.me/+YW30tTypAmo0Yjhi

https://t.me/+4PBkUlSjsSQ2NTJi

https://t.me/+VpKlUHBbrb9jMzdi

https://t.me/+SszkHCfqvXA2NzUy

https://t.me/+RiGJtEAjDdZkYTdi

https://t.me/+gLzcCBSZlmY0ZThi

https://t.me/+XiG2sQpTGj83YTg6

Це до попередньої партії:
https://t.me/+cq5-x20J5UtmNzQy - 5 тисяч🥰
https://t.me/+vYJ3TFs5vW05YTY6 - Крим😘
https://t.me/+FgGydjs3WHtlYjcy - морпіхи🌊
https://t.me/+nJQ0Kbt0ZTNkYzgy - лнр💩
https://t.me/c/2921924224/1 - Пілоти 29 армії🛩

Про Суджу також не забудьте😉

https://t.me/c/2255460535/79

https://t.me/c/2255460535/79

https://t.me/c/2255460535/65

https://t.me/c/2255460535/30

https://t.me/c/2255460535/68

https://t.me/c/2255460535/10

https://t.me/c/2255460535/42